A tűzfalat is megkerüli a trójai program

A DefCon konferencián a hétvégén a Sensepost cég szakértői bemutattak egy Setiri elnevezésű trójai programot, amely képes kicselezni a tűzfalakat, méghozzá úgy, hogy egy megbízható Microsoft alkalmazásnak álcázza magát. A kártékony kód a szokásos módon kerülhet az áldozat PC-jére, például egy e-mail üzenet mellékleteként. A Setiri annyiban tér el a korábbi trójai programoktól, hogy nem tartalmaz végrehajtandó parancsokat, így nem is blokkolja a tűzfal. A program ehelyett megnyit egy láthatatlan ablakot az Internet Explorerben, és titokban - az Anonymizer.com nyilvános proxy szerverén keresztül - rákapcsolódik egy távoli webkiszolgálóra, ahonnan aztán a parancsokat fogadja. Így például fel lehet telepíteni az elvileg védettnek számító számítógépre egy billentyűleütéseket naplózó programot, vagy jelszavakat, fájlokat lehet átküldeni egy másik komputerre. Mivel az egész folyamat az anonimitást biztosító nyilvános proxyn keresztül zajlik, az áldozat nem is tudja behatárolni a távoli kiszolgáló helyét.

A kutatók megnyugtatták a hallgatóságot, hogy a program nem szabadult rá a világhálóra - a bemutatónak mindössze annyi volt a célja, hogy felhívják a Microsoft figyelmét, foltozzák be ezt a lyukat böngésző szoftverükön.

Noha a Setiri tevékenységének elejét lehet venni úgy, hogy a tűzfalon letiltják a hozzáférést az Anonymizer webhely felé, ez a megoldás nem gátolja meg a program jövőben megjelenő (egyéb proxykat használó) variánsainak működését.